人気のセキュリティ Web サイト Have I Been Pwned (HIBP) の発明者兼運営者である Troy Hunt 氏が、同サービスを売りに出している。
マイクロソフトのリージョナルディレクターであり、セキュリティ担当MVPでもあるハント氏は、Adobeが1億5,300万件のユーザー名と脆弱な暗号化のパスワードを漏洩した後、2013年にこのサイトを作成しました。ユーザーはメールアドレスを入力すると、漏洩したデータに含まれているかどうかを確認できます。また、パスワードを入力して、データ漏洩に含まれていないかどうかを確認することもできます。
このサイトはすぐに他の侵害データも追加され、現在では約80億件の記録を収録しています。HIBPは1日に1,200万回以上のアクセスがあるAPIを公開しており、そのほとんどはパスワードの安全性を確認するものです。MozillaのFirefoxは、ユーザーが強力なパスワードを選択できるようAPIと統合されている数多くの製品の一つです。商用ユーザー、政府機関、法執行機関もこのサービスを利用しています。
ハント氏は本日の発表で、「これまで、すべてのコード行、すべての設定、そして侵害されたすべての記録は、私一人で処理してきました。『HIBPチーム』などはなく、すべてを支えているのは一人の人間です」と述べた。
一般的なパスワードが漏洩、今回は100万回以上
彼は、サイトの維持はストレスフルで、燃え尽き症候群に陥りそうになったと語った。彼は、事業を買収する時期が来たと考えており、KPMGと共同で買収を進めている。
この買収プロジェクトは、将来の損失を防ぐために種子を貯蔵するノルウェーの取り組みに敬意を表して、「プロジェクト・スヴァールバル」と名付けられました。「膨大な量の『ユニット』を貯蔵するという、明らかなアナロジーから始まる、まさにふさわしい名前だと思います」とハント氏は述べました。
誰もが抱く疑問は、サービスの質は下がるのかということだろう。ハント氏はHIBPに留まり、消費者による検索は引き続き無料だと述べた。組織が拡大することで、より多くの機能を構築できるようになると考えている。
彼はまた、不十分なセキュリティ慣行に関して、個人と組織の両方の行動を変えるためにさらに努力したいと考えている。
ハント氏は、責任ある情報開示、つまり情報漏洩があったことを組織に通知するという点で、ハント氏は遅れをとっていると述べた。ハント氏はこれを「非常に大きな負担」と呼んだ。
いつになるのか? 急ぐ必要はない、とハント氏は言った。「私はプレッシャーを感じていない(つまり、仕事量が多いこと以外には)。買収案件の選定を自然に進め、プロジェクトに最適な相手を見つける時間がある」
しかし彼は、たとえ他の企業からスポンサードを受けても、新たな非営利団体を率いることを望んでいない。そうすることで、自分が抱えているストレスが軽減されるどころか、むしろ増大すると考えているからだ。
このサイトは素晴らしいサービスを提供しているものの、残念な点もあります。長年メールアカウントを使っている人は、HIBPのデータベースに何度も登録されている可能性があります。例えば、HIBPの報告によると、あなたのメールアドレスはAdobe、Bit.ly、Creative、Disqus、Dropbox、Kickstarter、Last.fm、MySpace、vBulletinなど20件のデータ侵害に巻き込まれています。
今日の健全なセキュリティとは、サイトごとに異なるパスワードとパスワード マネージャー、そして多要素認証などの他の戦略を意味しますが、Microsoft の Office 365 などのサービスからのデータからもわかるように、普及率は低いです。®
